1、-第三章 PKI基本结构-本节内容n公钥密码学与PKInPKI系统基本组件n辅助组件nPKI实例-公钥密码学与PKIn公钥密码算法的应用nBob独立生成自己的公私密钥对,将公钥公开。nAlice需要与Bob进行安全交易,Alice查找Bob的公钥,并用其加密消息,将密文发送给Bob。nBob使用自己的私钥对接收到的密文解密,获得明文。n问题:Alice如何确认所得到的公钥确实就是Bob的公钥呢?n如果Oscar生成公私密钥对,谎称其中的公钥为Bob所有,而且Alice相信了,那么Oscar就可以窃听本来只属于Alice和Bob的秘密信道,Bob反而无法做到这一点。nAlice能够正确的获取Bo
2、b的公钥是非常重要的。-公钥密码学与PKIn应用公钥密码的首要问题n公钥归属问题n实际是指谁拥有与该公钥配对的私钥,而不是简单的公钥持有。在Diffie和Hellman首次提出公钥密码算法的时候,也设想了相应的解决方案:每个人的公钥都存储在专每个人的公钥都存储在专门的可信资料库上。当门的可信资料库上。当Alice需要获取需要获取Bob的公钥时,的公钥时,就向该可信资料库查询。就向该可信资料库查询。n在线通信在线通信 资料库需要有较高的性能参数资料库需要有较高的性能参数 安全问题安全问题1978年年 Kohnfelder提出提出数字证书数字证书的概念。的概念。-PKI系统基本组件n在PKI技术支
3、持下,一个获取其他用户公钥的简化过程为:nBob生成自己的密钥对后,将公钥与身份证明发送给CA。nCA检查Bob的身份证明后,为Bob签发数字证书,证书中包括Bob的身份信息和公钥,以及CA的签名结果。n当Alice与Bob进行保密通信时,就可以查找Bob的证书,然后使用CA的公钥来验证证书上的数字签名是否有效,确保证书不是攻击者伪造的。n验证证书之后,Alice就可以使用证书上所包含的公钥与Bob进行保密通信和身份鉴别等。注:Alice可以从不可信的途径(如没有安全保护的WWW或FTP服务器、匿名的电子邮件等)获取证书,由CA的数字签名来防止证书伪造或篡改。-PKI系统基本组件n主要功能实体
4、n证书认证中心nCA具有自己的公私密钥对,负责为其他人签发证书,用自己的密钥来证实用户Bob的公钥信息。n证书持有者n证书持有者在与Alice的通信过程中,Bob拥有自己的证书和与证书中公钥匹配的私钥。证书持有者的身份信息和对应的公钥会出现在证书中。n依赖方/PKI的用户nAlice可以没有自己的密钥对和证书,与Bob的安全通信依赖于CA给Bob签发的证书以及CA的公钥。一般将PKI应用过程中使用其他人的证书来实现安全功能的通信实体称为依赖方,如Alice。-PKI系统基本组件n证书认证中心nCertificate Authority,CAn一个或多个用户信任的权威,有权创建和颁发公钥证书n某
5、些情况下,可以为用户创建密码。n需要负责证书的整个生命周期。n数字证书包括公开密钥、持有相应私有密钥一方的有关身份信息、证书运作周期和CA自己的数字签名。还可包括关于签名方的其他信息,或与公钥相关的推荐用法的信息。-PKI系统基本组件n证书认证中心(续)n在提供服务的过程中,CA必须向所有由它认证的最终用户和可能使用这些认证信息的可信主体提供自己的公钥。nCA以数字签名证书的形式提供自己的公钥,但该证书略有不同:主体域和颁发者域含有相同的名称,也就是说,CA证书是可以自签名的。-PKI系统基本组件n证书认证中心(续)n在PKI体系中,可能存在多个CA,根据这些CA的功能和层次级别的不同,可以分
6、为:n策略批准中心 PAAn策略证书中心 PCAn证书中心 CA-PKI系统基本组件n策略批准中心 PAAn负责整个PKI所有功能实体的策略和规范的建立、分布、保持、促进和实施,设置其下属策略证书中心的标准规范,批准PCA的策略并向其发放证书。n产生PAA自己的密钥对并公布公钥;n为PKI中所有实体指定总的政策和运作过程规范;n制定有关新PCA如何加入PKI的政策和运作规范;n为其下属PCA产生、发放数字证书,并定期对这些PCA进行鉴别认证;n产生维护目录服务器;n审核批准并公布其下属PCA自己指定的政策;n接收并处理废除某PCA证书的请求;n产生维护自己的CRL;n存档产生的所有证书、CRL
7、、审核文件以及PCA政策;n主要处理对象为PKI的全局政策和PCA的证书。PAA不为端实体或CA发放证书;-PKI系统基本组件n策略证书中心 PCAn也成为主要证书管理中心,为自己管理域内的所有证书中心指定操作运行政策,并为期签发公钥证书。PCA不直接为端用户发放证书。nPCA为政策CA,指定本PCA的具体政策,可以是上级PAA政策的扩充和细化,但不能与之相背离。这些政策可能包括本PCA范围内密钥的产生、密钥的长度、证书的有效期规定以及CRL的管理等。-PKI系统基本组件nPCA具体功能包括n公布自身及其下属CA的验证信息与物理信息。n通过PAA或专门的服务器公布有关安全策略以及运作流程nPC
8、A自身、其下属CA以及最终端实体的密钥产生政策;nPCA自己的证书发放,鉴别认证政策;nPCA与CA产生证书以及CRL的操作安全控制策略;nRA系统的安全控制政策;n端实体私钥的安全控制政策,密钥托管政策;nCRL更新政策;n审核政策;n端实体唯一名称的命名规范;n为其下属CA发放证书,并按有关安全政策监督其操作行为。n为其下属CA指定证书发放政策。n接收并处理证书废除申请。PCA只能废除自己产生的CA证书。n维护更新自己的CRL。n维护目录服务器,在其上公布所产生的证书以及CRL。n存档所产生的所有证书、CRL、审核文件以及制定的政策。-PKI系统基本组件n证书中心 CAn是PKI中唯一给端
9、用户发放证书的实体,该实体包括证书受理,证书制作,证书发放等。CA还可对下属CA以及RA发放证书。n公布证书发放政策;n为其下属CA,RA发放数字证书;n为端用户发放证书;n验证用户提交的证书;n接收并处理废除证书申请;n维护更新自己的CRL;n维护自己的目录服务器,在其上公布所产生的所有证书以及CRL;n存档所产生的所有证书、CRL、审核文件以及证书发放政策。-PKI系统基本组件n证书持有者n实体可能是用户、设备、进程、线程、软件系统等。n可以用来指代末端用户、设备或者任意拥有证书的其他实体。n真正含义:公钥对应的私钥持有者。n订户-PKI系统基本组件n依赖方n使用其他人证书来进行加密通信、
10、身份鉴别、数字签名验证等安全操作的实体。n依赖于对CA的信任。nPKI用户或证书用户n也经常被称为证书验证者 现实中,末端用户同时使用证书持有者和依赖方的功能,所以PKI系统的开发者通常会实现一套同时具有证书持有者和依赖方相关功能的PKI客户端软硬件。n对证书持有者,一般要求PKI客户端具有密钥生成、证书申请、私钥解密、数字签名等功能。n对证书验证者,一般要求PKI客户端举办证书验证、公钥加密、验证数字签名等功能。-辅助组件n注册机构RAn资料库系统nCRL Issuer nOCSP(Online Certificate Status Protocol)服务器n密钥管理系统-辅助组件n注册机构
11、RAn签发证书前,CA需要进行的操作n验证申请者提交的公钥数据 保证申请者拥有相应的私钥 需要对公钥进行其他方面的检查(密钥安全强度、密钥托管与恢复、算法等)n对申请者进行身份验证,确定身份信息无误 确定申请者就是(即将签发的)证书所标识的实体或者申请者有足够的权限代替其他人申请证书。其次,身份信息中的其他各方面内容(如姓名、单位和证件号码等)都需要认证检查。n检查申请者希望在证书中出现的其他信息 如职务、电子邮件地址、IP地址等n其他方面的检查 用户的缴费情况、合同签订、犯罪记录等n获取订户的管理用信息-辅助组件n注册机构RA(续)nRA作为CA与申请者的交互接口,专门负责各种信息的检查和管
12、理工作,协助CA完成有关证书的生成、发放。n工作流程n端实体向RA发送证书申请。nRA根据端实体申请证书的级别,按相应的认证业务声明对端实体进行所需的鉴别认证。然后把经过验证的信息连同端实体的公钥附上自己的数字签名,用对应CA的公钥加密后安全传送给CA。nCA根据RA传来的信息签发对应的数字证书并返回给RA。nRA确认信息的有效性,将此证书以及签发此证书的CA的证书传送给端实体。nRA也可接收用户的撤销证书申请。RA在任何情况下都无权产生证书和废除证书,它只是协助CA完成有关的鉴别验证工作。nRA必须提供友好完善的操作界面和用户接口-辅助组件n资料库nCA与证书持有者都可以分发证书,但可能存在
13、问题nAlice要与多个实体进行安全通信,需分别索取证书。带宽、存储容量等问题n用户难以保证始终在线提供服务。n基于安全性考虑,CA通常在签发证书之后,就处于离线或关机状态,或者处于依赖方不能直接访问的内部网络。所以,CA并不适合于提供证书查询和下载。-辅助组件n资料库(续)n专门的组件实现证书分发,负责存储所有的证书,供用户下载。n对资料库的安全要求较低,可以直接使用一些常见的信息发布技术,如W W W服务器、FTP服务器、HTTP协议等,甚至可以是普通的电子邮件。n用户以只读的方式访问资料库,只有CA或RA能够修改资料库中的信息。n除证书之外,资料库一般还会发布其他信息,如PKI客户端软件
14、更新、硬件驱动、PKI应用系统软件、产品说明书和操作手册等。-辅助组件nCRL Issuer和OCSP服务器n证书所体现的“身份与公钥的绑定关系”可能出现问题。nPKI必须提供一种解除这种绑定的方法,即能够让用户有“改正错误”的途径。n证书撤销nCRL 证书撤销列表n包含了当前所有被撤销证书的标识,验证者根据最新的CRL就能够判断证书是否被撤销。nCRL也需要可信第三方的数字签名,防止伪造和篡改。n使用CRL之前,需要验证CRL上的数字签名。nCRL也需要资料库来分发;撤销证书的请求,通常也是要先经过RA的检查。-辅助组件nCRL Issuer和OCSP服务器(续)nCRL由CA签发,也可以委
15、托给另外的CRL IssuernPKI中专门负责签发CRL的组件。更好的保护CA 更好的方便用户 方便实施安全策略 实施不同的撤销策略nCRL的不足n证书撤销信息有延迟n证书撤销信息数量大-辅助组件nCRL Issuer和OCSP服务器(续)nOCSP服务器nOCSP协议是一种实时检查证书撤销状态的标准协议。n“请求响应”协议nOCSP响应消息必须由服务器计算数字签名,防止传输过程中的替换或篡改攻击。n实时的、无延迟的证书撤销信息;响应信息短,传输带宽小,处理更容易。-辅助组件n密钥管理系统n密钥管理过程包括密钥的生成、备份、托管和恢复n密钥的生成 可靠的随机数产生源。PKI系统应该能够为用户
16、安全地生成密钥。n密钥的备份与恢复 密码设备无法使用(密钥被错误的销毁、密码设备被破坏、人员调动、忘记口令等)时n密钥托管 法律限制。政府希望监控加密通信技术、托管用户的通信密钥。n密钥管理系统就是为了满足上述的需求,在PKI系统引入的组件,为其他实体提供专门的密钥服务。-PKI系统实例n具体实现某一套PKI系统时,根据应用需求和环境的不同条件,设计不同的系统结构。可以只包括部分组件,也可以把PKI的功能合并或者分开提供。nX.509标准nX.509标准是ITU-T设计的PKI标准,它是为了解决X.500目录中的身份鉴别和访问控制问题而设计的。n使用最广泛、最成功的证书和CRL格式,都是X.5
17、09标准定义的格式。-PKI系统实例nPKIX工作组n将X.509标准应用于Internet,建设基于X.509标准的PKI系统,IETF于1995年成立了PKIX工作组,开始制定各种与Internet相关的PKI标准。nPKIX系统结构的资料库,除了X.500目录外,还可以使用各种常见的 Internet信息发布技术。nRA、OCSP服务器n证书申请、撤销、更新等各种操作时,末端实体与RA、CA之间的通信格式。-PKI系统实例n中国商用PKI系统标准n证书认证系统密码及其相关安全技术规范n指导用于公众服务的证书认证系统的建设和检测评估-PKI系统实例n美联邦MISPCnPKI组件最小互操作规
18、范MISPC是美国国家标准技术研究所NIST制定的PKI组件标准,它的初衷是为解决不同PKI厂商所生产的PKI组件之间的互操作问题。nCA、RA、证书持有者和PKI用户,定义了上述4中组件应该支持的最小功能集、通信数据格式。nLDAPv2作为证书依赖方访问资料库的协议。-PKI系统实例nRSA公司数字证书解决方案nRSA digital certificate solutions-PKI系统实例nEntrust Authority PKIn加拿大信息安全公司 Entrustn1994年推出商业化PKI系统产品n包括Authority Security Manager和其他各种可选组件 Auth
19、ority Security Manager 负责签发证书和CRL,而且具有用户密钥备份和恢复功能,同时实现CA和密钥管理功能。Authority Administration Services提供证书申请、审核和用户信息管理,实现RA功能。Authority Auto-enrollment Server 为特定的用户群提供了更为简便快速的证书申请。可认为是面向部分用户的RA组件。Authority Roaming Server可以被认为是一种PKI客户端软件。没有包括资料库组件,但Security Manager可以使用LDAP协议与各种资料库软件通信,发布证书和CRL。-PKI系统实例n其
20、他n中科院ARP CA系统n微软公司解决方案n。-信任模型n等级层次n具有上下级关系架构的PKI叫作分层式PKI。n根CAn信任关系指向为一个方向,下级CA不可向其上级CA颁发证书。根根CA中间中间CA-信任模型n根CA具有一个自签名的证书n根CA依次对它下面的CA进行签名n层次结构中叶子节点上的CA用于对安全个体进行签名n对于个体而言,它需要信任根CA,中间的CA可以不必关心(透明的);同时它的证书是由底层的CA签发的n在CA的机构中,要维护这棵树在每个节点CA上,需要保存两种cert(1)Forward Certificates:其他CA发给它的certs(2)Reverse Certif
21、icates:它发给其他CA的certs-信任模型n假设个体A看到B的一个证书nB的证书中含有签发该证书的CA的信息n沿着层次树往上找,可以构成一条证书链,直到根证书n验证过程:n沿相反的方向,从根证书开始,依次往下验证每一个证书中的签名。其中,根证书是自签名的,用它自己的公钥进行验证n一直到验证B的证书中的签名n如果所有的签名验证都通过,则A可以确定所有的证书都是正确的,如果他信任根CA,则他可以相信B的证书和公钥-信任模型-信任模型n分层PKI的优点n分层式PKI可以升级。欲加入一个新的用户组,根CA只需与此用户群的CA建立信任关系。n因其具有单向性,认证路径较容易建立,从用户的证书到信任
22、点,路径简单、明确而又确定。n认证路径相对来说较短。n分层体系中的用户根据体系中CA的位置就能明确知道一个证书的确切应用。这样,分层体制中使用的证书可以比其他结构中使用的证书更小、更简单。-信任模型n分层PKI的缺点n只有一个信任点,如果根CA 信任源点泄漏了,整个PKI即泄漏。泄漏时没有根本的技术可以恢复。n一般来说,一致信任单一的根CA在事实上是不可能的。而且,从一些各自分离的CA向一个分层PKI转换在逻辑上也是不切实际的。-信任模型n对等模式n以对等的关系将CA连接起来,称为网状PKI或“信任网”。n网状PKI中的所有CA都能作为信任点。-信任模型n网状PKI的优点n能方便地增加一个用户
23、群。n单个CA的泄漏不会影响整个PKI。n最好的情况是,因为减少了一个CA及其用户群,PKI缩小了;最坏的情况是整个PKI被分割为几个小PKI。n由一些各自独立的CA构造一个网状PKI很容易,但每个CA需向网状中的至少一个CA颁发信任证书。-信任模型n网状PKI的缺点n网状PKI证书路径的建立比分层结构要复杂。n网状PKI的可升级性差,网状PKI证书路径的最大长度是PKI中CA的数目。用户决定证书的应用时主要的根据是证书的内容而不是PKI中CA的位置,需要更大、更复杂的证书和证书路径管理。-信任模型n网桥模式n考虑两种可能情况n用户群来自于同一组织内的不同部门。n用户群来自不同的组织,这些组织
24、间存在合作关系,但所有权和管理均各自独立。n如果使用分层PKI模式n如果使用网状PKI模式-信任模型n桥认证中心BCAn把实施不同架构的PKI联结起来。nBCA不直接向用户颁发证书;也不作为PKI用户的信任点。nBCA在不同用户群之间建立对等信任关系,允许用户保留各自的自然信任点。“信任的桥”,使不同用户群的用户用指定的信任级别通过BCA发生互操作。n首要CA(Principal CA)-信任模型连接不同PKI结构的桥CA-信任模型n“hub-and-spoke”PKI n中心辐射式PKIn认证路径n用户都知道通向BCA的路径,他们只需确定从BCA到用户的证书之间的路径。n在拥有相同数目CA的
25、情况下,BCA架构的PKI的路径比网状PKI更短;而认证路径的发现比分层体系中难。nBCA架构的PKI的分散特征也更准确的反映了现实世界中的组织关系。-信任模型nBCA面临的技术问题n发现和验证复杂的认证路径n使用认证信息越说不同商业PKI间的信任关系,证书将更加复杂,PKI用户在认证路径的验证中必须能处理和使用附加的信任信息。n证书和证书状态信息怎样以有利于用户及其应用的方法进行发布。-物理结构n推荐将PKI的主要功能部件放在各自分开的系统中。n这些系统应被放置在组织的Internet防火墙后。nCA系统特别重要n目录对对方必须是可用的n创建一个只包含公开密钥和证书的目录,并把这个目录放在组织边界上-物理结构住建部IC卡中心CA
